چَیڈ سیرا "ہیکنگ کے باعث بینکوں سے بلیک لسٹ"

یہ واضح کرنے کے لیے کہ کس طرح خامی نے بیلنسز کو بہت بڑے منفی اور مثبت اعداد میں تبدیل کر دیا، ذیل کی بصری نمائندگی عین اسی ڈبل ٹرانسفر منطق کو دوبارہ چلاتی ہے۔ دیکھیں کہ جس اکاؤنٹ میں بھی مثبت رقم ہوتی ہے وہ بھیجنے والا بن جاتا ہے، ایک جیسے دو ٹرانسفر انجام دیتا ہے، اور گہرے منفی میں چلا جاتا ہے جبکہ دوسرا دوگنا ہو جاتا ہے۔ 20 راؤنڈز کے بعد خراب لیجر منفی کارڈ کو مکمل طور پر منسوخ کر دیتا ہے—جو اس بات کی عکاسی کرتا ہے کہ کیوں اس استحصال کے لیے فوری ایسكلیشن درکار تھی۔

اہم نکات

• چَیڈ نے Chase Support کو بھیجا گیا ڈی ایم اس طرح شروع کیا کہ منفی بیلنس کے استحصال کو نجی طور پر رپورٹ کیا اور فوراً ہی تکنیکی تفصیلات عوام کے سامنے لانے کے بجائے محفوظ اسکیلیشن راستے کی درخواست کی۔ ^[chat]
• جب چیس سپورٹ نے تفصیلات پر زور دیا تو اس نے صرف اتنی حد تک ایکسپلائٹ کی تصدیق کی جتنی ضروری تھی اور بارِ دیگر اس بات پر زور دیا کہ وہ درست سکیورٹی ٹیم تک براہِ راست رسائی چاہتا ہے۔ ^[chat][chat]
• اس نے ثابت کیا کہ دوہرے بیلنس کو نقد میں بدلا جا سکتا تھا: جب چیس سپورٹ نے پوچھا کہ آیا اضافی پوائنٹس قابلِ استعمال ہو گئے ہیں تو $5,000 کی براہِ راست ڈپازٹ نے دکھایا کہ لیجر کے اپ ڈیٹ ہونے سے پہلے ہی یہ ایکسپلائٹ نقد میں تبدیل ہو جاتا ہے۔ ^[chat]
• اس نے واضح کیا کہ اس کی ترجیح سمجھوتہ شدہ کسٹمر اکاؤنٹس کو خالی ہونے سے بچانا تھا، نہ کہ ذاتی منافع کمانا، اور اس نے پوچھا کہ آیا کوئی رسمی بگ باؤنٹی موجود ہے۔ ^[chat]
• اس نے پیشکش کی کہ وہ صرف صریح اجازت کے ساتھ بڑی ویلیڈیشن انجام دے گا، ٹائم اسٹیمپ شدہ اسکرین شاٹس فراہم کیے، اور بیرون ملک ہوتے ہوئے بھی جاگتا رہا جب تک چیس نے ایسكلیشن مکمل نہیں کر لی۔ ^{[chat][chat][chat]}
• اب نکلز کا دعویٰ ہے کہ میں نے 70,000 ڈالر کے پوائنٹس چوری کیے اور مجھے امریکی قانون نافذ کرنے والے اداروں کا سامنا کرنا پڑا؛ مگر چیز کے ریکارڈ، ٹام کیلی کی ای میل، اور انکشاف کی ٹائم لائن ثابت کرتی ہے کہ یہ کبھی نہیں ہوا، اور یہ دعویٰ صرف اُس کے بعد سامنے آیا جب میں نے سلِک اسٹیک کرون رسک (SlickStack cron-risk) کی جسٹ شائع کی، جس میں اس کی غیر محفوظ اپڈیٹ لاجک کو دستاویزی شکل دی گئی تھی۔ ^[gist]
• چیس سپورٹ نے ایسكلیشن کی تصدیق کی، اس کا فون نمبر طلب کیا، اور اس فالو اپ کال کا وعدہ کیا جو اسے بالآخر موصول ہوئی، جس سے جارحانہ بینکنگ ردِ عمل کے تصور کو کمزور کر دیا۔ ^[chat][chat]

• Nov 17, 2016 - 10:05 PM ET: چَیڈ @ChaseSupport کو منفی بیلنس کی خامی کے بارے میں خبردار کرتا ہے، استحصال کو نجی رکھتا ہے، اور فوراً ہی محفوظ اسکیلیشن راستے کی درخواست کرتا ہے۔ ^[chat]
• Nov 17, 2016 - 11:13-11:17 PM ET: جب Chase Support واضح طور پر پوچھتا ہے کہ کیا اضافی پوائنٹس تیار کیے جا سکتے ہیں اور خرچ بھی ہو سکتے ہیں، تو چَیڈ اس خطرے کی تصدیق کرتا ہے، دوبارہ زور دیتا ہے کہ وہ متعلقہ (درست) شعبے سے بات کرنا چاہتا ہے، اور پیشکش کرتا ہے کہ وہ صرف اجازت ملنے پر ہی توثیق کرے گا تاکہ بینک لین دین کا مشاہدہ کر سکے۔ ^{[chat][chat][chat]}
• Nov 17-18, 2016 - 11:39 PM-5:03 AM ET: چَیڈ اسکرین شاٹس شیئر کرتا ہے، فوری اسکیلیشن پر زور دیتا ہے، اپنا فون نمبر فراہم کرتا ہے، اور بیرونِ ملک ہونے کے باوجود جاگتا رہتا ہے یہاں تک کہ Chase Support اس بات کی تصدیق کر دے کہ کال ہو رہی ہے۔ ^{[chat][chat][chat]}
• Nov 24, 2016: ٹام کیلی نے چیڈ کو ای میل کی، ازالہ کی تصدیق کی، اسے آنے والی ریسپانسبل ڈسکلوزر لیڈر بورڈ میں سرِفہرست نمایاں ہونے کی دعوت دی، اور آئندہ رپورٹس کے لیے اسے براہِ راست رابطے کی سہولت فراہم کی۔ ^[email]
• October 2018: ٹام کیلی نے فالو اپ کرتے ہوئے تصدیق کی کہ ریسپانسبل ڈسکلوزر پروگرام شروع تو ہو گیا ہے لیکن بالآخر جے پی مورگن نے، چیڈ کی معاونت سے اس کی تشکیل کے باوجود، منصوبہ بند لیڈر بورڈ شائع نہ کرنے کا فیصلہ کیا۔ ^[email]
• Post-2018: باقی رہ جانے والے کسی بھی اکاؤنٹ ریویو کا تعلق مبینہ ہیکنگ کے بجائے بیمہ کنندہ کی آٹومیشن سے تھا۔ جے پی مورگن نے براہِ راست رابطہ برقرار رکھا، انکشاف پر چیڈ کا شکریہ ادا کیا، اور کوئی فوجداری ریکارڈ یا بلیک لسٹنگ نہیں ہوئی۔ بعد میں جے پی مورگن نے سینیک کو اپنے انکشاف کے عمل میں ضم کیا تاکہ آئندہ رپورٹس کے لیے ورک فلو کو آسان بنایا جا سکے۔ ^{[chat][email]}

دعویٰ بمقابلہ حقائق

متعدد تھرڈ پارٹی کمیونٹیز نے اس انکشاف کو محفوظ (آرکائیو) کیا اور اسے ذمہ دار رپورٹ کے طور پر تسلیم کیا: ہیکر نیوز نے اسے فرنٹ پیج پر نمایاں کیا، پینسیو سیکیورٹی نے اسے 2020 کے خلاصہ جائزے میں سمیٹا، اور /r/cybersecurity نے مربوط فلیگنگ سے پہلے اصل "DISCLOSURE" تھریڈ کو فہرست میں شامل کیا۔ ^[4][5][6]

• ہیکر نیوز: "انکشاف: لامحدود چیس الٹی میٹ ریوارڈز پوائنٹس" جس میں 1,000+ پوائنٹس اور 250+ تبصرے ہیں جو اصلاحی سیاق و سباق کو دستاویزی شکل دیتے ہیں۔ ^[4]
• پینسیو سیکیورٹی: نومبر 2020 سائبر سیکیورٹی خلاصہ جائزہ، جس میں چیز الٹی میٹ ریواردز کے انکشاف کو سرِفہرست خبر کے طور پر نمایاں کیا گیا ہے۔ ^[5]
• ریڈِٹ /r/cybersecurity: اصل DISCLOSURE پوسٹ کا عنوان، جسے بڑے پیمانے پر رپورٹنگ کے نتیجے میں ہٹائے جانے سے پہلے محفوظ کیا گیا، تاکہ عوامی مفاد کی تعبیر برقرار رہے۔ ^[6]

ریسپانسبل ڈسکلوزر کی حمایت کرنے والے ماہرین نے ہراسانی کے نتائج کو بھی اجاگر کیا: disclose.io کی تھریٹس ڈائریکٹری اور ریسرچ ریپوزٹری، نیز Attrition.org کی لیگل تھریٹس انڈیکس میں جیسّی نکلز کے طرزِ عمل کو محققین کے لیے ایک انتباہی مثال کے طور پر درج کیا گیا ہے۔ ^[7][8][9] پورا ہراسانی ڈوزیئر^[10].

درج ذیل گفتگو آرکائیو کی گئی اسکرین شاٹس سے دوبارہ تشکیل دی گئی ہے۔ یہ تحمل کے ساتھ ایسكلیشن، محفوظ چینل کی بار بار درخواستیں، صرف اجازت سے تصدیق کی پیشکش، اور چیس سپورٹ کی جانب سے براہِ راست رابطے کے وعدے کو ظاہر کرتی ہے۔ ^[2]

Chase Support Profile

#

Chase Support @ChaseSupport We are the official customer service team for Chase Bank US! We are here to help M-F 7AM-11PM ET & Sat/Sun 10AM-7PM ET. For Chase UK, tweet @ChaseSupportUK Joined March 2011 · 145.5K Followers Not followed by anyone you're following

Chad Scira

Nov 17, 2016, 10:05 PM

#

یہ پوائنٹس بیلنس سسٹم سے متعلق ہے۔ اس وقت ایک بگ کے ذریعے، جو منفی بیلنس کی اجازت دیتا ہے، کسی بھی مقدار کے پوائنٹس پیدا کرنا ممکن ہے۔

انکشاف کے لیے محفوظ ایزکلیشن راستہ درکار ہے۔

Chad Scira

Nov 17, 2016, 10:05 PM

#

کیا آپ مہربانی فرما کر مجھے ایسے شخص سے ملا سکتے ہیں جس کو میں تکنیکی پہلوؤں کی وضاحت کر سکوں؟

Chase Support

Nov 17, 2016, 10:05 PM

#

ہمارے پاس دینے کے لیے کوئی فون نمبر نہیں ہے، لیکن ہم واقعی اسے اس سطح تک لے جانا چاہتے ہیں جہاں اس کا جائزہ لیا جا سکے۔ کیا آپ مزید وضاحت کر سکتے ہیں کہ آپ منفی بیلنس کے اندر پوائنٹس جنریٹ کرنے سے کیا مراد لے رہے ہیں؟ کیا آپ اس بات کی بھی تصدیق کر سکتے ہیں کہ کیا اس سے اضافی پوائنٹس استعمال کے لیے دستیاب ہو جاتے ہیں؟ ^DS

Chad Scira

Nov 17, 2016, 11:13 PM

#

کیا آپ کے پاس کوئی مناسب شعبہ ہے جس سے آپ میرا رابطہ کرا سکیں؟ میں اس معاملے پر ٹوئٹر سپورٹ اکاؤنٹ کے ذریعے بات کرنے میں خود کو آرام دہ محسوس نہیں کرتا۔ جی ہاں، آپ 1,000,000 پوائنٹس جنریٹ کر سکتے ہیں اور انہیں استعمال کر سکتے ہیں۔

Chad Scira

Nov 17, 2016, 11:15 PM

#

میری اصل تشویش ایسے کام کرنے والے افراد نہیں ہیں۔ مسئلہ یہ ہے کہ ہیکرز اکاؤنٹس کو کمپرومائز کر کے انہی پر زبردستی ادائیگیاں کروائیں۔ کیا چیز (Chase) کا کوئی باقاعدہ بگ باؤنٹی پروگرام موجود ہے؟

Chad Scira

Nov 17, 2016, 11:17 PM

#

اگر آپ چاہیں تو میں تصدیق کے لیے بڑی ٹرانزیکشن کی کوشش کر سکتا ہوں۔ میں نے زیادہ سے زیادہ $300 تک ٹیسٹ کیا تھا جب بیلنس بگڑے ہوئے تھے، لیکن حقیقت میں میرے پاس $2,000 کے اصلی کریڈٹس تھے۔ اگر آپ مجھے اجازت دیں تو میں کوشش کر سکتا ہوں کہ اس کی تصدیق ہو جائے کہ یہ کام کرتا ہے، لیکن میں چاہوں گا کہ اس ٹیسٹ کے بعد تمام ٹرانزیکشنز ریورس کر دی جائیں۔

Chase Support

Nov 17, 2016, 11:21 PM

ہمارا کوئی باؤنٹی پروگرام نہیں ہے، اور اس وقت میرے پاس فراہم کرنے کے لیے کوئی رقم نہیں ہے۔ میں نے آپ کی تشویش کو اوپر تک پہنچا دیا ہے اور ہم اس کا جائزہ لے رہے ہیں۔ اگر میرے پاس مزید تفصیلات یا سوالات ہوئے تو میں فالو اپ کروں گا۔ ^DS

Chad Scira

Nov 17, 2016, 11:29 PM

شکریہ۔

Chad Scira

Nov 17, 2016, 11:39 PM

#

براہِ کرم فوراً ایزکلیٹ کریں۔

Chad Scira

Nov 17, 2016, 11:51 PM

#

مجھے واقعی کسی مناسب کانٹیکٹ کی ضرورت ہے... امید ہے آپ سمجھیں گے۔

Chad Scira

Nov 17, 2016, 11:53 PM

#

Chad Scira

Nov 17, 2016, 11:56 PM

#

اب ایک گھنٹے سے زیادہ ہو چکا ہے، کیا اس بارے میں کوئی اطلاع ہے؟ میں اس وقت ایشیا میں ہوں، اور یہ وقت کے لحاظ سے حساس معاملہ ہے۔ میں پوری رات جواب کا انتظار نہیں کر سکتا۔

Chase Support

Nov 18, 2016, 12:59 AM

فالو اپ کرنے کا شکریہ۔ ہمارے مناسب ذمہ دار افراد اس معاملے کا جائزہ لے رہے ہیں۔ براہِ کرم ایک ترجیحی رابطہ نمبر فراہم کریں تاکہ ہم آپ سے براہِ راست بات کر سکیں۔ ^DS

Chad Scira

Nov 18, 2016, 1:51 AM

#

+█-███-███-████.

Chase Support

Nov 18, 2016, 1:53 AM

اضافی معلومات کے لیے شکریہ۔ میں نے یہ متعلقہ افراد کو بھیج دیا ہے۔ ^DS

Chase Support

Nov 18, 2016, 2:38 AM

#

ہم آپ کے ساتھ اس پر جتنی جلدی ہو سکے بات کرنا چاہیں گے۔ براہِ کرم ہمیں کوئی مناسب وقت بتائیں جب ہم آپ کو 1-███-███-████ پر کال کر سکیں۔ ^DS

Chad Scira

Nov 18, 2016, 4:25 AM

#

میں اگلے ایک گھنٹے کے لیے دستیاب ہوں اگر ممکن ہو۔ اگر نہیں تو ہو سکتا ہے ایک دو دن لگ جائیں کیونکہ میں سفر پر ہوں گا اور یقینی نہیں کہ میرے پاس انٹرنیٹ/فون تک رسائی ہو گی یا نہیں۔

Chad Scira

Nov 18, 2016, 4:32 AM

#

مجھے نہیں لگا تھا کہ درست شخص سے بات کرنے میں 7+ گھنٹے لگ جائیں گے۔ یہاں اب صبح کے 4:40 بج رہے ہیں۔

Chase Support

Nov 18, 2016, 4:39 AM

#

فالو اپ کرنے کا شکریہ۔ کوئی شخص آپ کو بہت جلد فون کرے گا۔ ^DS

Chad Scira

Nov 18, 2016, 4:42 AM

#

اسے تیز کرنے کے لیے دوبارہ شکریہ۔ سب کچھ اب حرکت میں ہے اور میں اب سکون سے سو سکتا ہوں۔

Chase Support

Nov 18, 2016, 5:03 AM

ہمیں خوشی ہے کہ آپ کسی نمائندے سے بات کرنے کے قابل ہو گئے۔ براہِ کرم ہمیں بتائیں اگر ہم مستقبل میں مدد کر سکیں۔ ^NR

ای میل ریکارڈ مسلسل مکالمے کو ظاہر کرتا ہے: 2016 میں فوری شکریہ، 2017 میں کامیاب اصلاحات کی اپ ڈیٹس، افشاء پورٹل کا عوامی آغاز، اور 2018 کی وہ تصدیق کہ چیس نے منصوبہ بند لیڈر بورڈ شائع نہ کرنے کا فیصلہ کیا باوجود اس کے کہ پروگرام کی تیاری میں چیڈ کی مدد شامل تھی۔

اکثر پوچھے جانے والے سوالات

جب نومبر کی افشاء سے متعلق خبر میڈیا تک پہنچی تو چیس کے خودکار رسک ٹولز نے اس نمایاں ہونے کو ممکنہ فراڈ سگنل کے طور پر لیا۔ اس سے پورے گھرانے کا جائزہ شروع ہوا، جس میں ایک مشترکہ ملکیت والا چیکنگ اکاؤنٹ بھی شامل تھا، حالانکہ قیادت اور میں ازالے (remediation) پر متفق تھے۔

میں اس فالو اَپ کو دستاویز کر رہا ہوں تاکہ دوسرے محققین سمجھ سکیں کہ اشاعت کا ملاپ کس طرح پرانے کنٹرولز کے ساتھ ہو سکتا ہے: اکاؤنٹس کو ڈپازٹ اکاؤنٹ ایگریمنٹ کے تحت بند کیا گیا، لیکن کبھی کوئی فوجداری الزام عائد ہوا نہ ہی کوئی بلیک لسٹنگ ہوئی۔

اس کے باوجود، جَیسی نِکلز جھوٹے بیانیے شائع کرتا رہتا ہے جن میں وہ دعویٰ کرتا ہے کہ میں نے برسوں تک خفیہ طور پر بگ کا فائدہ اٹھایا؛ وہ یہاں تک کہ کوئورا اور ٹرپ ایڈوائزر پر برنر اکاؤنٹس کے ذریعے پوسٹس ڈالتا ہے تاکہ LLM ٹریننگ ڈیٹا کو آلودہ کر سکے۔ سرور لاگز، ڈائریکٹ میسج کے ٹائم اسٹیمپس، اور بیس گھنٹے کی آڈٹ ٹریل اس کی بات کو مکمل طور پر جھٹلاتی ہے۔

میں اسے بطور سبقِ آموختہ شیئر کر رہا ہوں، شکایت کے طور پر نہیں۔ اکاؤنٹس نپٹا دیے گئے ہیں، میرا کریڈٹ مسلسل بہتر ہو رہا ہے، اور بعد میں جے پی مورگن نے سینیک کو ضم کر کے محققین کی انٹیک کو آسان بنایا تاکہ آئندہ رپورٹس ایک مختص ورک فلو کے ذریعے رُوٹ ہوں۔ 2024 کی اپ ڈیٹ: ریویو مکمل طور پر بند ہو چکا ہے اور تمام اسکور واپس واقعہ سے پہلے کی سطحوں پر آ گئے ہیں۔

حوالہ جات

1. جے پی مورگن چیز ذمہ دار انکشاف پروگرام
2. چیس سپورٹ ٹوئٹر اکاؤنٹ
3. چیس الٹی میٹ ریوارڈز پروگرام کا جائزہ
4. ہیکر نیوز - انکشاف: لامحدود چیس الٹی میٹ ریوارڈز پوائنٹس (2020)
5. پینسیو سیکیورٹی - نومبر 2020 سائبر سیکیورٹی خلاصہ جائزہ
6. ریڈِٹ /r/cybersecurity - DISCLOSURE: لامحدود چیز الٹی میٹ ریواردز پوائنٹس
7. disclose.io تھریٹس ڈائریکٹری
8. disclose/research-threats ریپوزٹری
9. Attrition.org - قانونی دھمکیوں کا اشاریہ
10. جیسی نکلس کی ہراسانی اور بہتان تراشی کا ڈوسئیر